Apple schließt mehr als 30 Sicherheitslücken in iOS, macOS und Safari

Im Mittelpunkt der Aktualisierungen stehen mehrere Fehler in WebKit, der von Apple entwickelten Open-Source-Engine für Webbrowser. Apple nennt dabei vier WebKit-Schwachstellen, die mit Unterstützung von KI-Werkzeugen gefunden wurden. Die ersten drei dieser Sicherheitsfehler schreibt das Unternehmen OpenAI Codex Security zu. Für CVE-2026-43715 nennt Apple die Anthropic-Forscher Milad Nasr und Nicholas Carlini sowie Claude.

Die vier KI-bezogen entdeckten Schwachstellen sind Teil eines deutlich größeren WebKit-Pakets: Insgesamt hat Apple dort fast 30 Lücken geschlossen. Zu den weiteren behobenen Fehlern zählen ein Use-after-free-Problem in WebKit Canvas unter der Kennung CVE-2026-43720 sowie eine Schwachstelle, die es einer bösartigen Website ermöglichen konnte, eingeschränkte Webinhalte außerhalb der Sandbox zu verarbeiten. Diese Lücke wird als CVE-2026-43725 geführt.

Darüber hinaus hat Apple drei Fehler im Kernel-Bereich behoben. Eine bösartige App konnte demnach sensible Kernel-Zustände offenlegen, was Apple unter CVE-2026-43722 erfasst. Ein weiterer Fehler konnte zu einem unerwarteten Systemabbruch führen oder das Schreiben in den Kernel-Speicher ermöglichen; er trägt die Kennung CVE-2026-43724. Außerdem wurde mit CVE-2026-39868 ein Bug beseitigt, der den Kernel-Speicher beschädigen konnte.

Apple schreibt die Entdeckung und Meldung von CVE-2026-43724 und CVE-2026-43722 dem Sicherheitsforscher Hyunwoo Kim zu, der auch Dirty Frag entdeckt hat. Die jetzt bereitgestellten Updates stehen für iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 und Safari 26.5.2 zur Verfügung.

Nach Apples Angaben ist keine der geschlossenen Schwachstellen bisher als aktiv in freier Wildbahn ausgenutzt bekannt geworden. Gegenüber Reuters erklärte das Unternehmen, es veröffentliche Sicherheitsupdates nun deutlich früher als zuvor. Damit reagiere Apple auf Bedenken, dass KI-Werkzeuge die Entwicklung von Exploits beschleunigen und Cyberkriegsführung begünstigen könnten.

Reuters zitiert Apple mit der Aussage, man passe sich „an die Realität an, dass das Unternehmen angesichts der Fähigkeit künstlicher Intelligenz, die Entwicklung bösartiger Hacking-Werkzeuge zu beschleunigen, die Zeit zwischen der ersten öffentlichen Bereitstellung von Updates und ihrer Auslieferung an Kunden verkürzen musste“. Laut Reuters sieht Apple das Zeitfenster zwischen Entdeckung einer Schwachstelle und ihrer Bewaffnung dadurch auf Stunden schrumpfen.